《2017金融科技安全分析報告》平安綠盟攜手共建金融安全生態圈

2018年3月29日平安科技聯合綠盟科技在深圳四季酒店召開發布會，會上正式發布《2017金融科技安全分析報告》，報告由平安金融安全研究院和綠盟科技聯合撰寫。該報告結合《2017中國企業金融科技安全調查問卷》和綠盟科技運營數據作為主要情報來源，直觀地分析了金融行業安全威脅的現狀及趨勢。依託雲計算、大數據、人工智慧、區塊鏈等先進的計算機技術的發展，金融服務也趨於多樣化、便利化、智能化。金融科技的出現頻率正在高速增長，技術變革與創新加速，至今已經步入金融科技3.0時代。

金融科技日漸成為金融產品的重要支撐手段，攻擊者也在不斷豐富其攻擊目標和攻擊手段，以圖提升自身的攻擊變現能力，獲利是他們的核心訴求。那麼對於金融科技安全從業者而言，在傳統的以脆弱點和檢測點為核心的防護方案之外，更應從獲利點出發，逆向分析，進而組織自身的防護體系。本文延續報告結構，從網路安全、數據安全、業務安全三個方面進行解讀。

網路安全方面，拒絕服務攻擊已是當前金融領域極為常見的安全威脅。2017年DDoS攻擊發生總次數207,000次，單次攻擊最高峰值1.4Tbps。與2016年相比，2017DDoS攻擊仍然頻繁，攻擊總流量大幅上升。統計數據表明，金融機構互聯網帶寬一般在100M上下，攻擊流量峰值達到了萬倍以上，攻防完全不在一個量級。攻擊威脅的源頭是攻擊方採用大量物聯網設備如攝像頭髮起攻擊，攝像頭的24小時在線、帶寬穩定及缺少維護剛好成為了優秀的攻擊設備。以一個不超過300秒，攻擊流量帶寬在125Gbps的DDOS攻擊為例，其實施攻擊成本為5至6美元，購買該攻擊的服務成本約為20美元，但給受害者帶來的損失則可能在2萬至10萬美元的損失(視機構規模和業務而定)。應對思路是綜合防範，如運營商流量清洗和本地拒絕服務防護為主，網站運營監測等手段為輔，多管齊下進行防護。以綠盟科技企業安全平台(ESP)為例，該平台以大數據框架為基礎，結合威脅情報系統，通過攻防場景模型的大數據分析及可視化展示等手段,協助客戶建立和完善安全態勢全面監控、安全威脅實時預警、安全事故緊急響應的能力。

數據安全方面，數據泄露事件頻繁發生。比如美國Equifax徵信行業巨頭髮生的數據泄露泄露事件，約1.43億美國用戶的個人數據受到襲擊，這也是美國歷史上最大的數據泄漏事件之一。統計數據表明，資料庫勒索也是黑客攻擊金融業的一種常見手段。許多資料庫的讀取介面直接暴露在互聯網上，並且沒有設置完整的訪問控制策略，通過弱密碼甚至空密碼就可以直接獲取資料庫的控制許可權。黑客由此獲取資料庫控制權，加密或破壞數據，以此要挾受害者支付贖金。中國金融機構應完善敏感信息保護措施，加強內部管理，建立必要制度與控制機制。

業務安全方面，在互聯網業務中，Web類攻擊格外突出，且影響嚴重。統計數據表明，73.6% 的網站遭遇過不同程度的Web類型的攻擊，約65.9% 的網站遭遇過利用特定程序漏洞進行的攻擊。相關安全事件頻發，如盜刷資損、薅羊毛、安全漏洞攻擊等，對業務造成資金損失，且對企業品牌造成極大的負面影響。分析個中緣由，大部分企業開發團隊開發任務注重功能實現，安全管理工作集中在上線階段，或偏重「安全測試」管控，採用業務流程安全分析方法盡量識別出可能存在的威脅，針對識別出的威脅構建安全測試用例，嚴格把控測試過程並形成大量測試指南及測試工具集。但是,由於沒有全局管控流程，無安全需求及安全設計技術措施，安全測試發現問題反覆出現，消耗大量安全測試成本，治標不治本。從整個開發生命周期來看，需求階段、設計階段和編碼階段對安全考慮十分欠缺。以綠盟在安全開發生命周期管控安全需求的經驗，安全需求提出的全面性和合理性考量，會在安全需求評審會中進行考量。需要引入經驗豐富的內部或外部安全專家和開發專家，能不斷以變化和最新的威脅角度審視安全需求是成功的關鍵。同樣地，通過業務人員的安全意識增強和安全編碼技能的提升，綜合提高業務風險管控。

綜上，金融和科技技術的融合發展大力推動了金融服務領域的拓展和維度，其面臨的安全威脅也與日俱增。金融科技要持續、健康地發展，安全問題必不可忽視。可以認為，報告提出的威脅情報、綜合平台建設、業務風險管控、人才儲備和安全意識等方法和解決思路可以幫助金融機構的管理者們了解安全威脅現狀和趨勢，找出有效地解決方案。

下載《2017金融科技安全分析報告》：

http://www.nsfocus.com.cn/content/details_62_2718.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！